我正在为Android开发一款支付处理应用程序,我想防止黑客访问APK文件中的任何资源、资产或源代码。
如果有人将.apk扩展名更改为.zip,那么他们可以将其解压缩并轻松访问应用程序的所有资源和资产,并且可以使用dex2jar和Java反编译器访问源代码。对Android APK文件进行反向工程非常容易-有关更多详细信息,请参阅堆栈溢出问题从APK文件到项目的反向工程。
我已经使用了Android SDK提供的Proguard工具。当我对使用签名密钥库和Proguard生成的APK文件进行反向工程时,我得到了混淆的代码。
然而,Android组件的名称保持不变,一些代码(如应用程序中使用的关键值)保持不变。根据Proguard文档,该工具无法混淆Manifest文件中提到的组件。
现在我的问题是:
如何完全防止Android APK的反向工程?这可能吗?我如何保护应用程序的所有资源、资产和源代码,使黑客无法以任何方式破解APK文件?有没有办法让黑客攻击变得更加困难甚至不可能?我还能做什么来保护APK文件中的源代码?
当前回答
工具:在应用程序中使用ProGuard,可以限制其对应用程序进行反向工程
其他回答
100%避免Android APK的反向工程是不可能的,但您可以使用以下方法避免提取更多数据,如源代码、APK中的资产和资源:
使用ProGuard混淆应用程序代码使用使用C和C++的NDK将应用程序核心和安全部分代码放在.so文件中为了保护资源,不要将所有重要资源都包含在APK的资产文件夹中。在应用程序首次启动时下载这些资源。
如果我们想让逆向工程(几乎)不可能实现,我们可以将应用程序放在一个高度防篡改的芯片上,该芯片在内部执行所有敏感的内容,并与一些协议通信,使控制GUI在主机上成为可能。即使是防篡改芯片也不能100%防裂;他们只是设定了比软件方法高得多的标准。当然,这是不方便的:该应用程序需要一些小的USB疣来保持芯片插入设备。
这个问题并没有揭示出想要如此谨慎地保护这个应用程序的动机。
如果目的是通过隐藏应用程序可能存在的任何安全缺陷(已知或其他)来提高支付方法的安全性,那么这是完全错误的。如果可行的话,安全敏感位实际上应该是开源的。您应该尽可能方便任何审查您的应用程序的安全研究人员查找这些信息并仔细检查其操作,并与您联系。付款应用程序不应包含任何嵌入证书。也就是说,不应该有任何服务器应用程序仅仅因为设备具有来自工厂的固定证书而信任该设备。支付交易应仅凭用户的凭证进行,使用正确设计的端到端认证协议,避免信任应用程序、平台或网络等。
如果目标是防止克隆,除了防篡改芯片之外,你无法采取任何措施来保护程序不被反向工程和复制,从而使某人将兼容的支付方法融入自己的应用程序,从而导致“未经授权的客户”。有一些方法可以使开发未经授权的客户端变得困难。一种方法是基于程序完整状态的快照创建校验和:所有状态变量,所有内容。GUI、逻辑等等。克隆程序将不具有完全相同的内部状态。当然,它是一个状态机,具有类似的外部可见状态转换(可以通过输入和输出观察到),但几乎没有相同的内部状态。服务器应用程序可以询问程序:您的详细状态是什么?(即给我一个所有内部状态变量的校验和)。这可以与虚拟客户端代码进行比较,虚拟客户端代码在服务器上并行执行,并经过真正的状态转换。第三方克隆人必须复制真实程序的所有相关状态变化,才能给出正确的响应,这将阻碍其开发。
完全避免逆向工程是不可能的,但通过在内部使其更加复杂,攻击者可能更难看到应用程序的清晰操作,这可能会减少攻击向量的数量。
如果应用程序处理高度敏感的数据,则存在各种技术,这些技术会增加代码反向工程的复杂性。一种技术是使用C/C++来限制攻击者容易进行的运行时操作。有大量的C和C++库非常成熟,易于集成,Android提供JNI。
攻击者必须首先绕过调试限制,才能在较低级别上攻击应用程序。这增加了攻击的复杂性。Android应用程序应在应用程序清单中设置Android:debuggable=“false”,以防止攻击者或恶意软件轻易地进行运行时操作。
跟踪检查–应用程序可以确定调试器或其他调试工具当前是否正在跟踪它。如果被跟踪,应用程序可以执行任意数量的可能的攻击响应动作,例如丢弃加密密钥以保护用户数据、通知服务器管理员或其他此类类型的响应以试图自卫。这可以通过检查进程状态标志或使用其他技术来确定,如比较ptrace附件的返回值、检查父进程、进程列表中的黑名单调试器或比较程序不同位置的时间戳。
优化-为了隐藏高级数学计算和其他类型的复杂逻辑,利用编译器优化可以帮助混淆目标代码,使其不易被攻击者分解,从而使攻击者更难理解特定代码。在Android中,这可以通过使用NDK本地编译的库更容易地实现。此外,使用LLVM混淆器或任何保护器SDK将提供更好的机器代码混淆。
剥离二进制文件–剥离本机二进制文件是一种有效的方法,可以增加攻击者查看应用程序低级功能组成所需的时间和技能水平。通过剥离二进制文件,二进制文件的符号表被剥离,这样攻击者就无法轻松调试或反向工程应用程序。您可以参考GNU/Linux系统上使用的技术,如sstriping或使用UPX。
最后,您必须了解混淆和ProGuard等工具。
你的客户应该雇佣一个知道他们在做什么、能够做出正确决定并能够指导你的人。
上面所说的你有能力改变后端的事务处理系统是荒谬的——你不应该被允许进行这样的架构改变,所以不要期望能够这样做。
我的理由是:
由于您的域是支付处理,因此可以安全地假设PCI DSS和/或PA DSS(以及潜在的州/联邦法律)对您的业务非常重要-为了符合要求,您必须证明自己是安全的。为了不安全,然后(通过测试)发现自己不安全,再进行修复、重新测试等,直到安全性能够在合适的水平上得到验证=昂贵、缓慢、高风险的成功方法。要做正确的事情,要事先认真思考,让有经验的人才投入工作,以安全的方式发展,然后测试、修复(更少)等,直到安全性可以在合适的水平上得到验证=廉价、快速、低风险的成功方式。
作为一个在支付平台(包括一个移动支付应用程序(MyCheck))上广泛工作的人,我想说,您需要将这种行为委托给服务器。移动应用程序中不应存储或硬编码支付处理器的用户名或密码(以其为准)。这是您最不希望看到的,因为即使您混淆了代码,也可以理解源代码。
此外,您不应在应用程序上存储信用卡或支付令牌。一切都应该再次委托给您构建的服务。这也会让你以后更容易遵守PCI标准,信用卡公司也不会像对待我们那样,让你喘不过气来。
